[发明专利]一种网络入侵检测系统及方法

说明书

本发明涉及一种网络入侵检测系统和方法，包括：数据采集模块，用于获取网络统计数据；数据预处理模块，将数据转换为便于数据分析处理的格式；数据差异性分析模块和规则库，用于区分具有入侵行为的数据和正常行为的数据，将与规则库中的数据不匹配的数据根据PSO‑based K‑means算法进行挖掘，提取新的规则，加入规则库中；规则评估模块，对规则、算法的阈值或参数进行修订；响应模块，当检测到符合入侵行为规则的数据，发出报警信息。本发明采用了PSO‑based K‑means算法，具有全局搜索能力；本发明将PSO‑based K‑means算法用于网络入侵检测，可有效提高检测准确率，降低误报率与漏报率。

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种网络入侵检测系统及方法。

背景技术

人侵检测定义为：发现非授权使用计算机的个体或计算机系统的合法用户滥用其访问权限，以及企图实施非法操作的个体。

人侵检测系统(IDS)能够跟踪入侵行为痕迹，从网络系统多方面采集数据，对网络或操作系统上的可疑行为做出策略反应，及时切断入侵源。

入侵检测主要分为滥用检测和异常检测两类，这两类方法分别存在误报、漏报等较多的缺点，传统的人侵检测是对单个数据包的内容进行特征匹配，可以对付单个攻击包的攻击手段。

随着互联网时代的到来，网络攻击的手段越来越成熟，有的攻击潜伏很久后对网络造成致命打击，现在出现了隐藏扫描和DDos等攻击手段，对数据包的内容进行伪装，所以仅仅通过分析数据包已无法精准的检测入侵行为，必须进一步分析网络数据和流量。

发明内容

本发明所要解决的技术问题是提供一种网络入侵检测系统及方法，通过SNMP网络管理系统和PSO-based K-means算法对入侵行为进行检测和分析。

为解决上述技术问题，本发明的技术方案是：一种网络入侵检测系统，包括：

数据采集模块，用于获取网络统计数据；

数据预处理模块，将数据转换为便于数据分析处理的格式；

数据差异性分析模块和规则库，所述数据差异性分析模块将数据与规则库中的数据对比，区分具有入侵行为的数据和正常行为的数据，将与规则库中的数据不匹配的数据根据PSO-based K-means算法进行挖掘，提取新的规则，加入规则库中；

规则评估模块，所述规则评估模块用于存储数据采集模块产生的异常模式和正常行为的轮廓，并对规则、算法的阈值或参数进行修订；

响应模块，根据数据差异性分析的结果，当检测到符合入侵行为规则的数据，发出报警信息。

作为优选的技术方案，所述数据采集模块包括探测器、数据接收器和SNMP网络管理系统，所述探测器截获并读取位于OSI协议模型中各个协议层上的数据包，所述数据接收器获取及接收目的IP地址不是本地主机的数据包，所述SNMP网络管理系统通过轮询的方式获取网络数据。

作为优选的技术方案，所述规则库包括入侵行为规则库和正常行为规则库。

作为优选的技术方案，所述规则评估模块包括特征规则库和知识库，所述特征规则库用于存放由PSO-based K-means算法进行数据挖掘提取出的正常模式和异常模式的轮廓，所述知识库用于存放用于与数据进行匹配的正常模式和异常模式的轮廓。

一种网络入侵检测的方法，包括以下步骤：

截获并阅读位于OSI协议模型中各个协议层上的数据包，接收并筛选目的IP地址不是本地主机的数据包，获取网络统计数据；

对数据进行预处理，将数据转化成适合PSO-based K-means算法运算的格式；